漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。9 S+ d9 v, Z+ I, @) b
如果你的操作系统是linux你可以直接修改一个图片文件的文件名,像这样:( D6 b) B% q z
7 i* T3 X8 C7 `1
1 G8 O+ T( p# e0 k1 i& F<img src=javascript/alert(1);>.png5 O5 F- e3 U1 v: [* J3 C
(这里的/在linux下会被转换成: 这个payload只有在IE6下才能弹起来,我知道你们都是高手 可以根据需要 插点高级的payload)
" l. D) d1 w v5 R8 K" M& e如果你的操作系统是windows,你可以上你喜欢的抓包工具(我个人喜欢用Tamper data)。第一次上传应该是抓不到文件名的,至少我没有抓到。
4 k* D; B. [6 w7 A5 x所以你需要在上传,插入,发帖完成之后重新编辑你的帖子来更新你的图片,这个时候抓包是可以抓到这个可爱的filename的。. e$ ]; Q' A# h. a" ^+ `3 {0 I& u
修改xxx.png为
. C6 Q \2 @: L" b, O9 g 3 e( Y0 ~% d% D1 \
1
/ O U$ k" e6 c5 J<img src=javascript:alert(1);>.png
; I1 B4 R; i0 s6 |提交。$ ]% w/ f: K+ i/ r
xss会被触发在第二个页面,也就是点击图片放大之后触发。
* T2 H0 i( M: _/ zpwned!
) N" k( ~! M1 k9 W" o$ h
" K4 a9 h& K' D# U, T$ r字符长度限制在80左右,过滤了” ’ / etc..(斜杠的问题我会在后面继续叙述)
% Y+ U8 u; v- n {因为不懂XSS,就拿给自己玩的好的几位基友去构造payload都说斜杠过滤了,字符限制云云 基本上都失败了。2 E5 j4 H. ?) U/ S4 |& y0 W
虽然现在XSS很火,但我个人真的不是很喜欢这个东西。
a% k+ e8 U( _) E9 j+ [" h但基友居然都说不行就只好自己硬着头皮再试试了。
! z4 c. f1 x6 m2 c9 U4 } I在尝试中发现反斜杠也被过滤时,我才发现这不是一个xss filter的问题。
) H/ o! T: S/ I" r+ |而是上传过程中,我们可爱的/和反斜杠在这里应该起到分割filename和filepath的作用 所以被杀也是应该的。 Orz..
; {7 ^- |* j% X: c8 v8 X这貌似就是传说中的mission impossible了。' W a: `5 W% ~( g: s& N1 ~% z. f
我们需要解决这个斜杠的问题。经过各种尝试最后迂回到了附件描述的地方。很没有把握地插了一个XSS payload.像这样:
5 R! W5 g3 O P0 z a2 H1! ?: d# Q9 i+ u6 f
<img src=x onerror=alert(document.cookie)>.png
" o" N/ B2 ?5 j5 u原来的文件名被这个描述给覆盖掉了。' i7 t. \8 z# U7 o+ n& |
pwned!; q, O0 x/ ]. Y9 Q3 B
+ o# p/ w' |' s" Y而且已经可以带上我们的斜杠了(因为它已经不再是前面的那种情况了)3 K& P7 j! ~6 X r- X4 H
到这儿,我觉得应该已经没有任何的阻碍了。
2 C7 K3 M4 X/ h. W可能经过测试,会有人说payload会在主页面测漏,有HTTPonly cookie,属于被动触发云云。& e, k: ^) D* t x, M
whatever!
' f/ S- m P2 e- v/ q p我觉得这些已经不应该是该去研究的问题了。
! l w0 p5 y% l5 {" Z/ g* R因为没有哪个网站和你有这么大的恨。
' D7 P5 H( F* R) y! W7 ]: X解决方案:
5 g4 v5 `' v3 Y全局-上传设置-论坛附件-帖子中显示图片附件-否
4 p' E: X' [2 m) o7 V* j( y这样,就搞定了。2 d$ h4 H1 u. N4 i8 G3 U
|
发表于 2013-2-16 21:37:48
收藏
支持
反对
发表于 2013-2-17 19:17:13